Medzinárodná norma ISO/IEC 27001 prešla v roku 2022 významnou revíziou, ktorá odráža aktuálne kybernetické hrozby a moderné prístupy k informačnej bezpečnosti. Pre organizácie, ktoré sú už certifikované alebo certifikáciu plánujú, je dôležité porozumieť kľúčovým zmenám a pripraviť sa na prechod.
Prečo bola revízia potrebná
Predchádzajúca verzia ISO 27001:2013 vznikala v období, keď cloud computing, pokročilé kybernetické hrozby a masívna digitalizácia ešte neboli na dnešnej úrovni. Revízia 2022 prináša normu do súladu so súčasným stavom technológií a hrozbového prostredia.
Hlavné zmeny v norme
Zatiaľ čo základná štruktúra normy (klauzuly 4–10) zostáva relatívne stabilná, najvýznamnejšie zmeny sa týkajú prílohy A (Annex A), ktorá obsahuje bezpečnostné kontroly:
- Reorganizácia kontrol — pôvodných 114 kontrol v 14 doménach bolo reorganizovaných do 93 kontrol v 4 kategóriách: organizačné, personálne, fyzické a technologické
- Atribúty kontrol — nový systém klasifikácie kontrol pomocou atribútov (preventívne, detektívne, korekčné) uľahčuje ich mapovanie a implementáciu
- Zlúčenie kontrol — niektoré pôvodné kontroly boli zlúčené pre lepšiu prehľadnosť
11 nových kontrol
Norma zavádza 11 úplne nových kontrol, ktoré reflektujú moderné bezpečnostné požiadavky:
- Threat intelligence — zhromažďovanie a analýza informácií o hrozbách
- Bezpečnosť cloudových služieb — špecifické požiadavky na zabezpečenie cloud prostredia
- Pripravenosť ICT na kontinuitu podnikania — prepojenie IT s plánmi kontinuity
- Fyzický bezpečnostný monitoring — dohľad nad fyzickými priestormi
- Konfiguračný manažment — riadenie konfigurácií systémov
- Mazanie informácií — bezpečná likvidácia dát
- Maskovanie dát — ochrana citlivých údajov pri spracovaní
- Prevencia úniku dát (DLP) — opatrenia proti neoprávnenému úniku
- Monitorovacie aktivity — kontinuálny bezpečnostný dohľad
- Webové filtrovanie — kontrola prístupu k webovému obsahu
- Bezpečné kódovanie — bezpečnostné požiadavky na vývoj softvéru
Prechodné obdobie
Organizácie s existujúcou certifikáciou podľa ISO 27001:2013 majú prechodné obdobie do 31. októbra 2025 na prechod na novú verziu. Nové certifikácie sa už vydávajú výhradne podľa verzie 2022.
Ako Cyllium pomáha s prechodom
Náš tím poskytuje komplexnú podporu pri prechode na ISO 27001:2022 — od úvodnej gap analýzy cez implementáciu nových kontrol až po prípravu na certifikačný audit. Využívame overené metodiky a praktické skúsenosti z desiatok implementácií.
Potrebujete pomoc s implementáciou? Kontaktujte nás pre bezplatnú konzultáciu.